ВВЕДЕНИЕ 3
1 Теоретико-методологические основы разработки безопасного ПО 5
1.1 Современные тенденции в области информационной безопасности с учетом стандартов и руководств в области разработки безопасного ПО 5
1.2 Сравнительная характеристика общемировых методологий проектирования безопасного ПО 10
1.3 Современные проблемы и тенденции разработки безопасного ПО 14
2 Анализ современных требований, направленных на уменьшение количества уязвимостей в разрабатываемом безопасном ПО 23
2.1 Анализ международных стандартов в области обеспечения безопасности разрабатываемого ПО 23
2.2 Анализ требований в области обеспечения безопасности ПО с учетом требований регуляторов в РФ 28
2.3 Исследование российской и зарубежной практики применения требований, предъявляемых к безопасности и сертификации разрабатываемого и эксплуатируемого ПО 30
3 Совершенствование методологии разработки безопасного ПО 36
3.1 Формирование предложений, направленные на уменьшение количества уязвимостей в разрабатываемом безопасном ПО 36
3.2 Разработка усовершенствованного набора требований безопасного ПО в соответствии с процессом жизненного цикла ПО 38
3.3 Оценка уязвимости безопасного ПО 50
3.4 Оценка экономической эффективности предлагаемых решений 53
ЗАКЛЮЧЕНИЕ 58
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 60
Таким образом, цель данной работы будет заключаться в представлении методологии разработки безопасного ПО.
Для достижения поставленной выше цели в рамках работы необходимо будет решить ряд взаимосвязанных задач:
- представить теоретико-методологические основы разработки безопасного ПО;
- охарактеризовать современные тенденции в области информационной безопасности с учетом стандартов и руководств в области разработки безопасного ПО;
- осуществить сравнительную характеристику общемировых методологий проектирования безопасного ПО;
- рассмотреть современные проблемы и тенденции разработки безопасного ПО;
- провести анализ современных требований, направленных на уменьшение количества уязвимостей в разрабатываемом безопасном ПО;
- проанализировать международные стандарты в области обеспечения безопасности разрабатываемого ПО;
- провести анализ требований в области обеспечения безопасности ПО с учетом требований регуляторов в РФ;
- исследовать российскую и зарубежную практики применения требований, предъявляемых к безопасности и сертификации разрабатываемого и эксплуатируемого ПО;
- сформировать предложения, направленные на уменьшение количества уязвимостей в разрабатываемом безопасном ПО;
- разработать усовершенствованный набор требований безопасного ПО в соответствии с процессом жизненного цикла ПО;
- провести оценку уязвимости безопасного ПО;
- осуществить оценку экономической эффективности предлагаемых решений.
Информационной базой работы послужили как российские стандарты в сфере безопасной разработки ПО: ГОСТ Р 56939-2016 [2], ГОСТ Р 58412-2019 [3], ГОСТ Р ИСО/МЭК 27034-1-2014 [4], так и международные стандарты: Microsoft SDL [41], BSIMM [34], OWASP [43] и др.
Структура работы будет состоять из введения, заключения, трех глав основной части и списка использованных источников.
' .
Методология разработки безопасного ПО #1206621
Артикул: 1206621
- Предмет: Компьютерная безопасность
- Уникальность: 79% (Антиплагиат.ВУЗ)
- Разместил(-а): 103 Егор в 2022 году
- Количество страниц: 67
- Формат файла: docx
2 970p.
1. Федеральный закон «Об информации, информационных технологиях и защите информации» № 149 — ФЗ от 27 июля 2006 года;
2. ГОСТ Р 56939-2016. Защита информации. Разработка безопасного программного обеспечения. Общие требования: утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 1 июня 2016 г. № 458-ст: дата введения 2017-06-01. - URL: https://docs.cntd.ru/document/1200135525 (дата обращения: 05.12.2021).
3. ГОСТ Р 58412-2019. Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения: утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 мая 2019 г. № 204-ст: дата введения 2019-11-01. - URL: https://docs.cntd.ru/document/1200164529
4. ГОСТ Р ИСО/МЭК 27034-1-2014 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия».
5. ГОСТ Р 6.30-2003 «Унифицированная система организационно-распорядительной документации»
6. ГОСТ Р 7.0.8.-2013 "Делопроизводство и архивное дело — Термины и определения";
7. ГОСТ 6.10.4-84 «Придание юридической силы документам на машинном носителе и машинограмме, созданным средствами вычислительной техники»
8. ГОСТ 6.10.5-87 «Унифицированные системы документации. Требования к построению формуляра-образца»
9. Методика оценки угроз безопасности информации : утв. ФСТЭК РФ 5 февраля 2021 г. [Электронный ресурс]. – URL: http://www.garant.ru/products/ipo/prime/doc/400325044/
10. Выписка из Требований по безопасности информации, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76 - URL: https://fstec.ru/tekhnicheskaya-zashchitainformatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/2126-vypiska-iz-trebovanij-pobezopasnosti-informatsii-utverzhdennykh-prikazom-fstek-rossii-ot-2-iyunya-2020-g-n-76
11. DevOps: устранение разногласий между разработчиками и операторами [Электронный ресурс] / авт. Atlassian. - 6 12 2021 г.. - https://www.atlassian.com/ru/devops.
12. Анашкина, Н. В. Технологии и методы программирования / Н.В. Анашкина, Н.Н. Петухова, В.Ю. Смольянинов. - М.: Academia, 2019. - 384 c.
13. Бёрд, Ричард Жемчужины проектирования алгоритмов. Функциональный подход / Ричард Бёрд. - М.: ДМК Пресс, 2018. - 330 c.
14. Буйневич М.В., Израилов К.Е. Аналитическое моделирование работы программного кода с уязвимостями // Вопросы кибербезопасности. 2020. № 3 (37). С. 2-12. DOI: 10.21681/2311-3456-2021-3-02-12
15. Ганжур, М. А. Анализ методологий devops и devsecops / М. А. Ганжур, Н. В. Дьяченко, А. С. Отакулов // Молодой исследователь Дона. – 2021. – № 5(32). –С. 8-10.
16. Гвоздева, В. А. Введение в специальность программиста / В.А. Гвоздева. - М.: Форум, Инфра-М, 2021. - 208 c.
17. Гвоздева, Т. В. Проектирование информационных систем / Т.В. Гвоздева, Б.А. Баллод. - М.: Феникс, 2021. - 512 c.
18. Голицына, О. Л. Основы проектирования баз данных. Учебное пособие / О.Л. Голицына, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2020. - 416 c.
19. Голицына, О. Л. Программное обеспечение / О.Л. Голицына, И.И. Попов, Т.Л. Партыка. - М.: Форум, 2021. - 448 c.
20. Головашов, С. Программные решения для обеспечения цикла непрерывной разработки / С. Головашов // Системный администратор. – 2021. – № 1-2(218-219). – С. 66-68.
21. Гончаров, В. А. Методы оптимизации. Учебное пособие / В.А. Гончаров. - М.: Юрайт, 2020. - 192 c. 17
22. Грекул, В. И. Методические основы управления ИТ-проектами / В.И. Грекул, Н.Л. Коровкина, Ю.В. Куприянов. - М.: Интернет-университет информационных технологий, Бином. Лаборатория знаний, 2011. - 392 c.
23. Дасгупта, С. Алгоритмы / С. Дасгупта, Х. Пападимитриу, У. Вазирани. - М.: МЦНМО, 2020. - 320 c.
24. Заботина, Н. Н. Проектирование информационных систем / Н.Н. Заботина. - М.: Дрофа, 2021. - 336 c.
25. Захаренков А.И., Бутусов И.В., Романов А.А., Степень доверенности программно-аппаратных средств как показатель качества замещения импорта // Вопросы кибербезопасности. 2021. № 4 (22). С. 2-9
26. Петренко А.С., Петренко С.А. Безопасная Agile-разработка системы ЭДО // Защита информации. Инсайд. 2020. № 3 (81). С. 30-35.
27. Фризен, И. Г. Офисное программирование / И.Г. Фризен. - М.: Дашков и Ко, 2021. - 244 c.
28. A. M. Hassan, S. Mahmood, M. Alshayeb and M. Niazi, “A maturity model for secure software design: A multivocal study,” IEEE Access, vol. 8, no. 1, pp. 215758-215776, 2020.
29. Y H. Tung, S. C. Lo, J. F. Shih and H. F. Lin, “An integrated security testing framework for secure software development life cycle,” in Proc APNOMS, pp. 1-4, Kanazawa, Japan, 2020.
30. A. H. A. Kamal, C. C. Y Yen, G. J. Hui and P. S. Ling, “Risk assessment, threat modeling and security testing in SDLC,” arXiv preprint arXiv: 2019.07226, pp. 1-13.
31. A. N. Karim, A. Albuolayan, T Saba and A. Rehman, “The practice of secure software development in SDLC: An investigation through existing model and a case study,” Security and Communication Networks, vol. 18, no. 9, pp. 5333-5345, 2020.
32. A. Yosef and Q. H. Mahmoud, “Cyber physical systems security: Analysis, challenges and solutions,” Computers & Security, vol. 68, no. 1, pp. 81-97, 2017.
33. B. Subedi, A. Alsadoon, P. W C. Prasad and A. Elchouemi, “Secure paradigm for web application development,” in Proc RoEduNet, Bucharest, Romania, pp. 1-6, 2019.
34. BUILDING SECURITY IN MATURITY MODEL (BSIMM) - VERSION 10 - [Электронный ресурс] - URL: https://www.bsimm.com/download.html
35. Cisco Secure Development Lifecycle - [Электронный ресурс] - URL: https ://www. cisco.com/c/dam/en_us/about/doing _bus iness/trust-center/docs/cisco-securedevelopment-lifecycle.pdf?dtid =ossc dc000283
36. J. Danahy, “The ‘phasing-in’of security governance in the SDLC,” Network Security, vol. 12, no. 1, pp. 15-17, 2018.
37. M. Alenezi and S. Almuairfi, “Security risks in the software development lifecycle,” International Journal of Recent Technology and Engineering (IJRTE), vol. 8, no. 1, pp. 13, 2019.
38. M. Asadullah, R. K. Yadav and V. Namdeo, “A survey on security issues and challenges in cloud computing,” International Journal of Innovative Research in Technology and Management, vol. 4, no. 4, pp. 43-50, 2020.
39. M. Nabil, M. Niazi, M. Alshayeb and S. Mahmood, “Exploring software security approaches in software development lifecycle: A systematic mapping study,” Computer Standards & Interfaces, vol. 50, no. 1, pp. 107-115, 2020.
40. M. Niazi, A. M. Saeed, M. Alshayeb, S. Mahmood and S. Zafar, “A maturity model for secure requirements engineering,” Computers & Security, vol. 95, no. 1, pp. 101852, 2020.
41. Microsoft Security Development Lifecycle. SDL Process Guidance. Version 5.2
42. N. Nazir and M. K. Nazir, “A review of security issues in SDLC,” American Scientific Research Journal for Engineering, Technology, and Sciences (ASRJETS), vol. 46, no. 1, pp. 247-259, 2018.
43. OWASP SAMM v2.0 - Core Model Document - [Электронный ресурс] Режим доступа: URL: https://owaspsamm.org/model/
44. Y. A. Bangash and Y. E. Salhi, “Security issues and challenges in wireless sensor networks: A survey,” IAENG International Journal of Computer Science, vol. 44, no. 2, pp. 94-108, 2017.
2. ГОСТ Р 56939-2016. Защита информации. Разработка безопасного программного обеспечения. Общие требования: утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 1 июня 2016 г. № 458-ст: дата введения 2017-06-01. - URL: https://docs.cntd.ru/document/1200135525 (дата обращения: 05.12.2021).
3. ГОСТ Р 58412-2019. Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения: утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 мая 2019 г. № 204-ст: дата введения 2019-11-01. - URL: https://docs.cntd.ru/document/1200164529
4. ГОСТ Р ИСО/МЭК 27034-1-2014 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия».
5. ГОСТ Р 6.30-2003 «Унифицированная система организационно-распорядительной документации»
6. ГОСТ Р 7.0.8.-2013 "Делопроизводство и архивное дело — Термины и определения";
7. ГОСТ 6.10.4-84 «Придание юридической силы документам на машинном носителе и машинограмме, созданным средствами вычислительной техники»
8. ГОСТ 6.10.5-87 «Унифицированные системы документации. Требования к построению формуляра-образца»
9. Методика оценки угроз безопасности информации : утв. ФСТЭК РФ 5 февраля 2021 г. [Электронный ресурс]. – URL: http://www.garant.ru/products/ipo/prime/doc/400325044/
10. Выписка из Требований по безопасности информации, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76 - URL: https://fstec.ru/tekhnicheskaya-zashchitainformatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/2126-vypiska-iz-trebovanij-pobezopasnosti-informatsii-utverzhdennykh-prikazom-fstek-rossii-ot-2-iyunya-2020-g-n-76
11. DevOps: устранение разногласий между разработчиками и операторами [Электронный ресурс] / авт. Atlassian. - 6 12 2021 г.. - https://www.atlassian.com/ru/devops.
12. Анашкина, Н. В. Технологии и методы программирования / Н.В. Анашкина, Н.Н. Петухова, В.Ю. Смольянинов. - М.: Academia, 2019. - 384 c.
13. Бёрд, Ричард Жемчужины проектирования алгоритмов. Функциональный подход / Ричард Бёрд. - М.: ДМК Пресс, 2018. - 330 c.
14. Буйневич М.В., Израилов К.Е. Аналитическое моделирование работы программного кода с уязвимостями // Вопросы кибербезопасности. 2020. № 3 (37). С. 2-12. DOI: 10.21681/2311-3456-2021-3-02-12
15. Ганжур, М. А. Анализ методологий devops и devsecops / М. А. Ганжур, Н. В. Дьяченко, А. С. Отакулов // Молодой исследователь Дона. – 2021. – № 5(32). –С. 8-10.
16. Гвоздева, В. А. Введение в специальность программиста / В.А. Гвоздева. - М.: Форум, Инфра-М, 2021. - 208 c.
17. Гвоздева, Т. В. Проектирование информационных систем / Т.В. Гвоздева, Б.А. Баллод. - М.: Феникс, 2021. - 512 c.
18. Голицына, О. Л. Основы проектирования баз данных. Учебное пособие / О.Л. Голицына, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2020. - 416 c.
19. Голицына, О. Л. Программное обеспечение / О.Л. Голицына, И.И. Попов, Т.Л. Партыка. - М.: Форум, 2021. - 448 c.
20. Головашов, С. Программные решения для обеспечения цикла непрерывной разработки / С. Головашов // Системный администратор. – 2021. – № 1-2(218-219). – С. 66-68.
21. Гончаров, В. А. Методы оптимизации. Учебное пособие / В.А. Гончаров. - М.: Юрайт, 2020. - 192 c. 17
22. Грекул, В. И. Методические основы управления ИТ-проектами / В.И. Грекул, Н.Л. Коровкина, Ю.В. Куприянов. - М.: Интернет-университет информационных технологий, Бином. Лаборатория знаний, 2011. - 392 c.
23. Дасгупта, С. Алгоритмы / С. Дасгупта, Х. Пападимитриу, У. Вазирани. - М.: МЦНМО, 2020. - 320 c.
24. Заботина, Н. Н. Проектирование информационных систем / Н.Н. Заботина. - М.: Дрофа, 2021. - 336 c.
25. Захаренков А.И., Бутусов И.В., Романов А.А., Степень доверенности программно-аппаратных средств как показатель качества замещения импорта // Вопросы кибербезопасности. 2021. № 4 (22). С. 2-9
26. Петренко А.С., Петренко С.А. Безопасная Agile-разработка системы ЭДО // Защита информации. Инсайд. 2020. № 3 (81). С. 30-35.
27. Фризен, И. Г. Офисное программирование / И.Г. Фризен. - М.: Дашков и Ко, 2021. - 244 c.
28. A. M. Hassan, S. Mahmood, M. Alshayeb and M. Niazi, “A maturity model for secure software design: A multivocal study,” IEEE Access, vol. 8, no. 1, pp. 215758-215776, 2020.
29. Y H. Tung, S. C. Lo, J. F. Shih and H. F. Lin, “An integrated security testing framework for secure software development life cycle,” in Proc APNOMS, pp. 1-4, Kanazawa, Japan, 2020.
30. A. H. A. Kamal, C. C. Y Yen, G. J. Hui and P. S. Ling, “Risk assessment, threat modeling and security testing in SDLC,” arXiv preprint arXiv: 2019.07226, pp. 1-13.
31. A. N. Karim, A. Albuolayan, T Saba and A. Rehman, “The practice of secure software development in SDLC: An investigation through existing model and a case study,” Security and Communication Networks, vol. 18, no. 9, pp. 5333-5345, 2020.
32. A. Yosef and Q. H. Mahmoud, “Cyber physical systems security: Analysis, challenges and solutions,” Computers & Security, vol. 68, no. 1, pp. 81-97, 2017.
33. B. Subedi, A. Alsadoon, P. W C. Prasad and A. Elchouemi, “Secure paradigm for web application development,” in Proc RoEduNet, Bucharest, Romania, pp. 1-6, 2019.
34. BUILDING SECURITY IN MATURITY MODEL (BSIMM) - VERSION 10 - [Электронный ресурс] - URL: https://www.bsimm.com/download.html
35. Cisco Secure Development Lifecycle - [Электронный ресурс] - URL: https ://www. cisco.com/c/dam/en_us/about/doing _bus iness/trust-center/docs/cisco-securedevelopment-lifecycle.pdf?dtid =ossc dc000283
36. J. Danahy, “The ‘phasing-in’of security governance in the SDLC,” Network Security, vol. 12, no. 1, pp. 15-17, 2018.
37. M. Alenezi and S. Almuairfi, “Security risks in the software development lifecycle,” International Journal of Recent Technology and Engineering (IJRTE), vol. 8, no. 1, pp. 13, 2019.
38. M. Asadullah, R. K. Yadav and V. Namdeo, “A survey on security issues and challenges in cloud computing,” International Journal of Innovative Research in Technology and Management, vol. 4, no. 4, pp. 43-50, 2020.
39. M. Nabil, M. Niazi, M. Alshayeb and S. Mahmood, “Exploring software security approaches in software development lifecycle: A systematic mapping study,” Computer Standards & Interfaces, vol. 50, no. 1, pp. 107-115, 2020.
40. M. Niazi, A. M. Saeed, M. Alshayeb, S. Mahmood and S. Zafar, “A maturity model for secure requirements engineering,” Computers & Security, vol. 95, no. 1, pp. 101852, 2020.
41. Microsoft Security Development Lifecycle. SDL Process Guidance. Version 5.2
42. N. Nazir and M. K. Nazir, “A review of security issues in SDLC,” American Scientific Research Journal for Engineering, Technology, and Sciences (ASRJETS), vol. 46, no. 1, pp. 247-259, 2018.
43. OWASP SAMM v2.0 - Core Model Document - [Электронный ресурс] Режим доступа: URL: https://owaspsamm.org/model/
44. Y. A. Bangash and Y. E. Salhi, “Security issues and challenges in wireless sensor networks: A survey,” IAENG International Journal of Computer Science, vol. 44, no. 2, pp. 94-108, 2017.
Материалы, размещаемые в каталоге, с согласия автора, могут использоваться только в качестве дополнительного инструмента для решения имеющихся у вас задач,
сбора информации и источников, содержащих стороннее мнение по вопросу, его оценку, но не являются готовым решением.
Пользователь вправе по собственному усмотрению перерабатывать материалы, создавать производные произведения,
соглашаться или не соглашаться с выводами, предложенными автором, с его позицией.
Тема: | Методология разработки безопасного ПО |
Артикул: | 1206621 |
Дата написания: | 08.11.2022 |
Тип работы: | Дипломная работа |
Предмет: | Компьютерная безопасность |
Оригинальность: | Антиплагиат.ВУЗ — 79% |
Количество страниц: | 67 |
Файлы артикула: Методология разработки безопасного ПО по предмету компьютерная безопасность
Пролистайте "Методология разработки безопасного ПО" и убедитесь в качестве
После покупки артикул автоматически будет удален с сайта до 23.03.2025
Посмотреть остальные страницы ▼
Честный антиплагиат!
Уникальность работы — 79% (оригинальный текст + цитирования, без учета списка литературы и приложений), приведена по системе Антиплагиат.ВУЗ на момент её написания и могла со временем снизиться. Мы понимаем, что это важно для вас, поэтому сразу после оплаты вы сможете бесплатно поднять её. При этом текст и форматирование в работе останутся прежними.
Гарантируем возврат денег!
Качество каждой готовой работы, представленной в каталоге, проверено и соответствует описанию. В случае обоснованных претензий мы гарантируем возврат денег в течение 24 часов.
Утром сдавать, а работа еще не написана?
Через 30 секунд после оплаты вы скачаете эту работу!
Сегодня уже купили 52 работы. Успей и ты забрать свою пока это не сделал кто-то другой!
ПРЕДЫДУЩАЯ РАБОТА
1. Инвестиции в человеческий капитал: понятие, структура, источники. Индекс развития человеческого потенциала (ИРЧП). Креативные кадры. 2....
СЛЕДУЮЩАЯ РАБОТА
ЕАЭС как главный геостратегический проект России (2014-2022) (только глава 1 и 2)